Intrusion Prevention System(入侵防御系统)
IPS 入侵防御系统
ips基于行为检测、特征库匹配以及威胁建模等方法,检测入侵行为(包括木马、蠕虫,病毒等),不同于常用的ids,入侵防御系统有主动的反制手段,通过一定的响应方式,实时地中止入侵行为。
产生的原因:
随着互联网的不断壮大 网络中的威胁也日益增多 道高一尺 魔高一丈 多年来 攻防彼此促进 防御设备也日益增多 ips的出现为网络安全又添加了一层保障
防御原理:
防御即 检测 + 动作 而动作正是区分ips和ids的关键
其中检测的方式主要有:
- 基于签名的检测方法:即将网络中数据流量与特征库中的签名比对 这种方法只能用于已知威胁
- 基于安全基线的检测:网络管理员会对正常的访问流量 访问文件 访问内容做出限制 当超出限制时 被认为攻击行为
- 基于策略:这种方法较为传统 即匹配网络数据包中的关键信息 由管理员自行添加策略
当网络流量进入时 数据先由策略匹配处理 由于网络层会对数据分片 传输层会对数据分包 数据进入ips后需要进行重组
重组后 ips会对数据包的协议进行识别 并对应用层的数据进行提取 将数据与特征库中特征签名比对 如果比对成功 进入到入侵防御动作阶段
设备类型:
IPS:安装在网络出口 或者通过探针来收集流量与日志 并进行分析,安全检查 也存在hips对主机进行保护的ips
NBA:Network behavior analysis,NBA用于分析网络流量,通过检测异常流量,发现新的恶意软件或零日漏洞,通常nba的误报会比较多,所以nba不直接进行动作 而是检测 向网络管理员发出通知
NGIPS:下一代入侵检测系统 增加ai智能分析功能 对某固定ip的数据进行综合分析研判 但现在ai技术还不算完善 大部分ai报毒需要用户自行检查
关键技术:
ips分为识别和动作两步
识别方式主要是:
通过特征库签名
动作分为:
阻止流量 删除内容 匹配策略 触发其他设备(soar自动化编排)
签名:
我们所熟知的签名指的是:
通过利用可信第三方的私钥 对数据进行加密 已达到数据不可篡改 不可否认的目的 我们熟知的btcoin tls 等认证过程都会涉及到签名技术
而我认为:正是利用了 不可篡改的这一特性 正好保障了数据的完整性 对于ips而言 特征库可以说是至关紧要的 通过签名保证了特征码的完整性 防止ips被投毒
通过比对特征码来识别入侵行为 然后反制入侵
签名也可以自定义 管理员通过添加特征码并通过设备自签名来新增签名
签名命中后 会进行对应的行为 一般是所有动作为告警时 进行告警 只要有一个动作为阻断时 直接阻断
动作:
-
阻止恶意流量
IPS 可能会终止用户的会话、阻止特定的 IP 地址,甚至阻止发往目标的所有流量。一些 IPS 可以将流量重定向到蜜罐 -
删除恶意内容
IPS 可以允许流量继续,但清除危险部分,例如从流中丢弃恶意数据包或从电子邮件中删除恶意附件。 -
触发其他安全设备
IPS 可能会促使其他安全设备采取行动,例如配合防火墙更新策略,配合蜜罐重定向流量 -
执行安全政策
某些 IPS 可以防止攻击者和未经授权的用户执行任何违反安全策略的行为,做出告警 或者阻断
不同于防火墙 常常做守门员 对外部进入的数据流量分析 ips使用内网探针对网络内部的数据流量分析检测 不论是内网还是外网的威胁 ips都能很好的进行防御
